ワイヤレス : Cisco 4400 シリーズ ワイヤレス LAN コントローラ

Novell eDirectory のデータベースに対する認証の Unified Wireless Network の設定

2016 年 1 月 16 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 12 月 20 日) | フィードバック


目次


概要

K-12 教育領域では、eDirectory Novell の内で作成されるアカウントによって無線ユーザを認証する増加する必要がずっとあります。 K-12 環境の分散 性質が原因で、個々の学校は各サイトに RADIUSサーバを置くリソースがないかもしれませんでしたり望みますこれらの RADIUSサーバの設定の追加オーバーヘッドを。 これを達成する唯一の方法は LDAP の使用によってワイヤレス LAN コントローラ(WLC)と LDAPサーバの間で通信するのに行います。 Ciscoワイヤレス LAN コントローラは Microsoft Active Directory のような外部 LDAP データベースに対してローカル EAP 認証をサポートします。 このホワイト ペーパーでは、フル機能の LDAP サーバとしてイネーブルにされた Novell の eDirectory に対してローカル EAP 認証用に設定されている Cisco WLC について説明します。 注意するべき 1 警告–テストされたクライアントは 802.1X 認証を行うのに Cisco Aironet デスクトップ ユーティリティを使用していました。 Novell は現時点で現在 クライアントとの 802.1X をサポートしません。 その結果、クライアントによって、二段式ログイン プロセスは行われる可能性があります。 これらの参照に注意して下さい:

Novell 802.1X 文

「現在、それらはログイン二度なります。 Novellクライアントがインストールされているとき 802.1X ユーザ認証を許可するデスクトップが初期化される、それからそれらは「レッド N」ログオン ユーティリティを使用して Novellネットワークにログインなりますとき、ユーザはワークステーション 最初のログイン ダイアログのチェックボックスだけを使用してログインなり。 これは二段式ログオンと言われます」。

「ワークステーション ログオンだけ」への代替は高度ログイン設定で「最初の Novell Login=Off」を使用するために Novellクライアントを設定することです(デフォルトは「最初の Novell Login=On」です)。 詳細については、Windows のための 802.1X 認証および Novellクライアントを参照して下さいleavingcisco.com

Meetinghouse Aeigs クライアント(Cisco Secure Services Client)のようなサード パーティ クライアントは Novell 技術パートナー二重ログオンを必要としないかもしれません。 詳細については、保護 SecureConnect を参照して下さいleavingcisco.com

Novellクライアントのためのもう一つの実行可能な回避策は実行されている Novell ジナ前の WLAN へのマシン(かユーザ)認証する(802.1X)を持つことです。

Novellクライアントおよび 802.1X の単一 サインのためにソリューションをテストすることはこの白書の範囲を超えてあります。

テストされたトポロジー

テストされるソリューション

  • 6.0.188.0 ソフトウェアの Ciscoワイヤレス LAN コントローラ

  • Cisco Aironet LWAPP AP 1242AG

  • Cisco Aironet デスクトップ ユーティリティ 4.4 の Windows XP

  • Novell eDirectory 8.8,5 の Windows サーバ 2003 年

  • Novell ConsoleOne 1.3.6h (eDirectory 管理ユーティリティ)

ネットワーク トポロジ

図 1

http://www.cisco.com/c/dam/en/us/support/docs/wireless/4400-series-wireless-lan-controllers/112137-novell-edirectory-01.gif

デバイス IP アドレス サブネット マスク デフォルト ゲートウェイ
eDirectory Novell 192.168.3.3 255.255.255.0 192.168.3.254
レイヤ 3 スイッチ 192.168.3.254 255.255.255.0 -
AP L3 スイッチからの DHCP によって割り当てられる 255.255.255.0 192.168.3.254
WLC マネージメントインターフェイス WLC AP マネージャ インターフェイス 192.168.3.253 192.168.3.252 255.255.255.0 192.168.3.254

設定

Novell eDirectory 設定

完全な Novell eDirectory インストールおよび設定はこの白書の範囲を超えてあります。 eDirectory Novell は、また対応する LDAP コンポーネント インストールする必要があります。

必要なキー コンフィギュレーションパラメータが単純なパスワードがユーザアカウントのために有効に する必要があり、認証された LDAP が設定する必要があることです。 LDAP のための TLS を使用する WLC コードの前のバージョンでサポートされました(4.2); ただし、セキュア LDAP は Cisco WLAN コントローラ ソフトウェアでもはやサポートされません。

  1. eDirectory の LDAPサーバ部分を設定した場合、ことを暗号化されていない LDAP ポート確かめて下さい(389) 有効に されます。 Novell iManager アプリケーションから図 2 参照して下さい。

    図 2

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/4400-series-wireless-lan-controllers/112137-novell-edirectory-02.gif

  2. eDirectory インストールの間に、それはツリーストラクチャをかドメイン名、先祖など頼みます eDirectory 既に、Novell の ConsoleOne インストールされています(図は 3) eDirectory 構造を表示するため容易なツールです。 適切なスキーマが WLC に通信を確立することを試みるときであるもの見つけることは重要です。 また WLC が LDAPサーバに認証されたバインドを行うようにするアカウントを作成してもらわなければなりません。 わかりやすくするために、この場合、Novell eDirecotry 管理者アカウントは認証されたバインドのために使用されます。

    図 3

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/4400-series-wireless-lan-controllers/112137-novell-edirectory-03.gif

  3. LDAP グループがクリアテキスト パスワードを可能にすることを確認するために ConsoleOne を使用して下さい。

    図 4

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/4400-series-wireless-lan-controllers/112137-novell-edirectory-04.gif

  4. 単純なパスワードが有効に なることことを OU の下で、セキュリティ設定確認して下さい。

    図 5

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/4400-series-wireless-lan-controllers/112137-novell-edirectory-05.gif

Novell eDirectory 構造を表示することはブラウザである別の役に立つツールはデフォル トインストールと含んでいました。

図 6

http://www.cisco.com/c/dam/en/us/support/docs/wireless/4400-series-wireless-lan-controllers/112137-novell-edirectory-06.gif

WLC の設定

テスト ネットワークの物理トポロジーのために図 1 参照して下さい。 このテストで使用された WLC は同じ サブネットの AP マネージャおよびマネージメントインターフェイス両方で標準的技法に従っておよび VLAN 観点からタグが付いていない設定されました。

図 7

http://www.cisco.com/c/dam/en/us/support/docs/wireless/4400-series-wireless-lan-controllers/112137-novell-edirectory-07.gif

  1. ローカル EAP 認証を設定して下さい: セキュリティ > ローカル EAP > 概要

    標準デフォルトは変更されませんでした。

    図 8

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/4400-series-wireless-lan-controllers/112137-novell-edirectory-08.gif

  2. 新しいローカル EAP プロファイルを作成して下さい: セキュリティ > ローカル EAP > プロファイル

    このテストケースに関しては、選択されたローカル EAP Profile Name は eDirectory でした。 選択された認証方式は LEAP、EAP-FAST および PEAP でした; ただし、PEAP だけこの資料でテストされました。

    図 9

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/4400-series-wireless-lan-controllers/112137-novell-edirectory-09.gif

    PEAP のためのローカル EAP 認証を設定するとき、WLC でインストールされる認証がなければなりません。 この場合、テストの目的で、Cisco プレ インストール認証は使用されました; ただし、顧客によって提供される認証はまたインストールすることができます。 PEAP-GTC の使用にクライアント側の認証が必要となりません、内側の PEAP 方式のために必要であれば有効に することができます。

    図 10

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/4400-series-wireless-lan-controllers/112137-novell-edirectory-10.gif

  3. LDAP のための認証 優先順位を設定 して下さい: セキュリティ > ローカル EAP > 認証 優先順位

    図 11

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/4400-series-wireless-lan-controllers/112137-novell-edirectory-11.gif

  4. WLC に LDAPサーバを追加して下さい: セキュリティ > AAA > LDAP

    図 12

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/4400-series-wireless-lan-controllers/112137-novell-edirectory-12.gif

  5. 新しい eDirecotry 使用するために WLC を設定して下さい(図 13 参照して下さい):

    1. 簡単なバインド方式のために認証されて選択して下さい。

    2. バインド ユーザ名を入力して下さい。 WLC が eDirectory に結合 することができるように使用される eDirectory の内で作成されたこれはアカウントです。

      注: ユーザ名のための正しいディレクトリ属性を入力することを確かめて下さい。 このテストケースに関しては、「cn=Admin、o=ZION」は使用されました。

    3. バインド パスワードを入力して下さい。 これはバインド ユーザアカウントのためのパスワードです。

    4. ユーザベース DN を入力して下さい。 これは無線ユーザ ユーザー アカウントが見つけられるドメイン名です。 テストケースでは、ユーザは DN (o=Zion)のルートにいました。 彼らが他のグループ/組織の内で入り込む場合、カンマとともにそれらを連鎖して下さい(たとえば、「o=ZION、o=WLCUser」)。

    5. ユーザ属性を入力して下さい。 これは Common Name (CN)です(図を 6)参照して下さい。

    6. ユーザ オブジェクト オブジェクト・タイプ–これはユーザに設定 されます。

    図 13

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/4400-series-wireless-lan-controllers/112137-novell-edirectory-13.gif

  6. Novell eDirectory クライアントに使用してほしいこと WLAN を作成して下さい。 このテストケースに関しては、WLAN Profile Name は eDirectory であり、SSID は Novell です(図 14 参照して下さい)。

    図 14

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/4400-series-wireless-lan-controllers/112137-novell-edirectory-14.gif

  7. WLAN を有効に し、適切な無線ポリシーを適用し、インターフェイスさせて下さい。 このテストケースに関しては、Novell SSID は 802.11a ネットワークのためにだけ有効に なり、マネージメントインターフェイスに接続しました。

    図 15

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/4400-series-wireless-lan-controllers/112137-novell-edirectory-15.gif

  8. 適切なレイヤ2 セキュリティ設定を設定して下さい。 このテストケースに関しては、キー管理のための WPA+WPA2 セキュリティ、WPA2 ポリシー、AES 暗号化および 802.1X は選択されました。

    図 16

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/4400-series-wireless-lan-controllers/112137-novell-edirectory-16.gif

  9. ローカル EAP 認証 設定を完了するために、LDAPサーバを使用してローカル EAP 認証のための WLAN を設定して下さい:

    1. 有効に なるローカル EAP 認証を選択し、作成された EAP プロファイルを適用して下さい(eDirectory)。

    2. LDAPサーバの下で、設定された eDirectory サーバの IP アドレスを選択して下さい(192.168.3.3)

    図 17

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/4400-series-wireless-lan-controllers/112137-novell-edirectory-17.gif

クライアントの設定

PEAP-GTC は K-12 学校の大半のための現在の認証 要件です。 WLC はローカル EAP 認証のための MSCHAPv2 をサポートしません。 その結果、クライアントの EAP 認証型のための GTC を選択して下さい。

次の図は WLAN SSID Novell に接続するべき PEAP-GTC のための Cisco Aironet デスクトップ ユーティリティの設定のチュートリアルです。 同じようなコンフィギュレーションは PEAP-GTC サポートの Microsoft ネイティブ クライアントと実現します。

  1. クライアント Profile Name および SSID (Novell)を設定して下さい。

    図 18

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/4400-series-wireless-lan-controllers/112137-novell-edirectory-18.gif

  2. EAP 型のセキュリティおよび PEAP (EAP-GTC)のために『WPA/WPA2/CCKM』 を選択 して下さい。

    図 19

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/4400-series-wireless-lan-controllers/112137-novell-edirectory-19.gif

  3. PEAP-GTC を設定して下さい:

    1. 検証しますサーバ識別およびスタティック パスワードを選択して下さい。

    2. アカウントのためのユーザ名 および パスワードを入力すればサプリカントはログオンで資格情報のためにプロンプト表示します。

    3. これが必要とならないように、<ANY> Novell ディレクトリ スキーマで入力しないで下さい。

    図 20

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/4400-series-wireless-lan-controllers/112137-novell-edirectory-20.gif

  4. プロファイルが完了したら、それをアクティブにすれば認証プロセスは開始される必要があります。

    図 21

    http://www.cisco.com/c/dam/en/us/support/docs/wireless/4400-series-wireless-lan-controllers/112137-novell-edirectory-21.gif

図 22 PEAP-GTC によって正常なアソシエーションおよび認証を描写します。

図 22

http://www.cisco.com/c/dam/en/us/support/docs/wireless/4400-series-wireless-lan-controllers/112137-novell-edirectory-22.gif

デバッグ

認証された BIND、またユーザ認証を行えることを確認するために eDirectory のためのこれらのトレース オプションを有効に して下さい:

  • 認証

  • LDAP

  • NMAS

図 23

http://www.cisco.com/c/dam/en/us/support/docs/wireless/4400-series-wireless-lan-controllers/112137-novell-edirectory-23.gif

デバッグに示すように、正常な LDAP認証応答は 192.168.3.253 のワイヤレス LAN コントローラに提供されます:

LDAP   : (192.168.3.253:36802)(0x0020:0x63) DoSearch on connection 
    0x34367d0
LDAP   : (192.168.3.253:36802)(0x0020:0x63) Search request:
      base: "o=ZION"
      scope:2  dereference:0  sizelimit:0  timelimit:5  attrsonly:0
      filter: "(&(objectclass=user)(cn=sorr))"
      attribute: "dn"
      attribute: "userPassword"
Auth   : Starting SEV calculation for conn 23, entry .sorr.ZION.ZION..
Auth   : 1 GlobalGetSEV.
Auth   : 4 GlobalGetSEV succeeded.
Auth   : SEV calculation complete for conn 23, (0:0 s:ms).
LDAP   : (192.168.3.253:36802)(0x0020:0x63) Sending search result entry 
    "cn=sorr,o=ZION" to connection 0x34367d0
LDAP   : (192.168.3.253:36802)(0x0020:0x63) Sending operation result 0:"":"" to 
    connection 0x34367d0
LDAP   : (192.168.3.253:36802)(0x0021:0x63) DoSearch on connection 0x34367d0
LDAP   : (192.168.3.253:36802)(0x0021:0x63) Search request:
      base: "o=ZION"
      scope:2  dereference:0  sizelimit:0  timelimit:5  attrsonly:0
      filter: "(&(objectclass=user)(cn=sorr))"
      attribute: "dn"
      attribute: "userPassword"
LDAP   : (192.168.3.253:36802)(0x0021:0x63) Sending search result entry 
    "cn=sorr,o=ZION" to connection 0x34367d0
LDAP   : (192.168.3.253:36802)(0x0021:0x63) Sending operation result 0:"":"" to 
    connection 0x34367d0
LDAP   : (192.168.3.253:36802)(0x0022:0x60) DoBind on connection 0x34367d0
LDAP   : (192.168.3.253:36802)(0x0022:0x60) Bind name:cn=sorr,o=ZION, version:3,
    authentication:simple
Auth   : [0000804d] <.sorr.ZION.ZION.> LocalLoginRequest. Error success, conn: 
    22.
LDAP   : (192.168.3.253:36802)(0x0022:0x60) Sending operation result 0:"":"" to 
    connection 0x34367d0
Auth   : UpdateLoginAttributesThread page 1 processed 1 login in 0 milliseconds

注: スペースの制約があるため、このデバッグの出力行の一部が省略されています。

WLC が eDirectory サーバに認証の成功 要求を作っていることを確認するために、WLC のこれらの debug コマンドを発行して下さい:

debug aaa ldap enable
debug aaa local-auth eap method events enable
debug aaa local-auth db enable

認証の成功からの出力例:

*Dec 23 16:57:04.267: LOCAL_AUTH: (EAP) Sending password verify request profile
    'sorr' to LDAP
*Dec 23 16:57:04.267: AuthenticationRequest: 0xcdb6d54
*Dec 23 16:57:04.267:   Callback.....................................0x84cab60
*Dec 23 16:57:04.267:   protocolType.................................0x00100002
*Dec 23 16:57:04.267:   proxyState...................................
    00:40:96:A6:D6:CB-00:00
*Dec 23 16:57:04.267:   Packet contains 3 AVPs (not shown)
*Dec 23 16:57:04.267: EAP-AUTH-EVENT: Waiting for asynchronous reply from LL
*Dec 23 16:57:04.267: EAP-AUTH-EVENT: Waiting for asynchronous reply from LL
*Dec 23 16:57:04.267: EAP-AUTH-EVENT: Waiting for asynchronous reply from method
*Dec 23 16:57:04.267: ldapTask [1] received msg 'REQUEST' (2) in state 
    'CONNECTED' (3)
*Dec 23 16:57:04.267: disabled LDAP_OPT_REFERRALS
*Dec 23 16:57:04.267: LDAP_CLIENT: UID Search (base=o=ZION, 
    pattern=(&(objectclass=user)(cn=sorr)))
*Dec 23 16:57:04.269: LDAP_CLIENT: ldap_search_ext_s returns 0 85
*Dec 23 16:57:04.269: LDAP_CLIENT: Returned 2 msgs including 0 references
*Dec 23 16:57:04.269: LDAP_CLIENT: Returned msg 1 type 0x64
*Dec 23 16:57:04.269: LDAP_CLIENT: Received 1 attributes in search entry msg
*Dec 23 16:57:04.269: LDAP_CLIENT: Returned msg 2 type 0x65
*Dec 23 16:57:04.269: LDAP_CLIENT : No matched DN
*Dec 23 16:57:04.269: LDAP_CLIENT : Check result error 0 rc 1013
*Dec 23 16:57:04.269: LDAP_CLIENT: Received no referrals in search result msg
*Dec 23 16:57:04.269: ldapAuthRequest [1] called lcapi_query base="o=ZION" 
    type="user" attr="cn" user="sorr" (rc = 0 - Success)
*Dec 23 16:57:04.269: Attempting user bind with username cn=sorr,o=ZION
*Dec 23 16:57:04.273: LDAP ATTR> dn = cn=sorr,o=ZION (size 14)
*Dec 23 16:57:04.273: Handling LDAP response Success
*Dec 23 16:57:04.274: LOCAL_AUTH: Found context matching MAC address - 448
*Dec 23 16:57:04.274: LOCAL_AUTH: (EAP:448) Password verify credential callback
    invoked
*Dec 23 16:57:04.274: eap_gtc.c-TX-AUTH-PAK: 
*Dec 23 16:57:04.274: eap_core.c:1484: Code:SUCCESS  ID:0x 8  Length:0x0004  
    Type:GTC
*Dec 23 16:57:04.274: EAP-EVENT: Received event 'EAP_METHOD_REPLY' on handle 
    0xBB000075
*Dec 23 16:57:04.274: EAP-AUTH-EVENT: Handling asynchronous method response for 
    context 0xBB000075
*Dec 23 16:57:04.274: EAP-AUTH-EVENT: EAP method state: Done
*Dec 23 16:57:04.274: EAP-AUTH-EVENT: EAP method decision: Unconditional Success
*Dec 23 16:57:04.274: EAP-EVENT: Sending method directive 'Free Context' on 
    handle 0xBB000075
*Dec 23 16:57:04.274: eap_gtc.c-EVENT: Free context
*Dec 23 16:57:04.274: id_manager.c-AUTH-SM: Entry deleted fine id 68000002 - 
    id_delete
*Dec 23 16:57:04.274: EAP-EVENT: Sending lower layer event 'EAP_SUCCESS' on 
    handle 0xBB000075
*Dec 23 16:57:04.274: peap_inner_method.c-AUTH-EVENT: EAP_SUCCESS from inner 
    method GTC
*Dec 23 16:57:04.278: LOCAL_AUTH: EAP: Received an auth request
*Dec 23 16:57:04.278: LOCAL_AUTH: Found context matching MAC address - 448
*Dec 23 16:57:04.278: LOCAL_AUTH: (EAP:448) Sending the Rxd EAP packet (id 9) to
    EAP subsys
*Dec 23 16:57:04.280: LOCAL_AUTH: Found matching context for id - 448
*Dec 23 16:57:04.280: LOCAL_AUTH: (EAP:448) ---> [KEY AVAIL] send_len 64, 
    recv_len 64
*Dec 23 16:57:04.280: LOCAL_AUTH: (EAP:448) received keys waiting for success
*Dec 23 16:57:04.280: EAP-EVENT: Sending lower layer event 'EAP_SUCCESS' on 
    handle 0xEE000074
*Dec 23 16:57:04.281: LOCAL_AUTH: Found matching context for id - 448
*Dec 23 16:57:04.281: LOCAL_AUTH: (EAP:448) Received success event
*Dec 23 16:57:04.281: LOCAL_AUTH: (EAP:448) Processing keys success
*Dec 23 16:57:04.281: 00:40:96:a6:d6:cb [BE-resp] AAA response 'Success'
*Dec 23 16:57:04.281: 00:40:96:a6:d6:cb [BE-resp] Returning AAA response
*Dec 23 16:57:04.281: 00:40:96:a6:d6:cb AAA Message 'Success' received for 
    mobile 00:40:96:a6:d6:cb

注: いくつかの出力の行は領域ずっと制約がラップされた原因です。

より多くの K-12 学校が Cisco WLAN アーキテクチャを採用するので、eDirectory Novell に無線ユーザ 認証をサポートする増加する必要があります。 この用紙はローカル EAP 認証のために設定されたとき Cisco WLC が Novell の eDirectory LDAP データベースに対してユーザを認証できることを確認しました。 同じような設定はまた eDirectory Novell へのユーザを認証する Cisco Secure ACS とすることができます。 より詳しい調査は Cisco Secure Services Client および Microsoft Windows ゼロ設定のような他の WLANクライアントの単一 サインのためにする必要があります。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 112137